PRISE EN COMPTE DES NOUVEAUX RISQUES SSI :

UN DÉFI POUR LES PETITES OU

MOYENNES ENTITÉS PUBLIQUES

30 mai 2007, 10 h

Stéphane  COTTIN, Jérôme  RABENOU

(Conseil Constitutionnel)

Problématique : Les institutions publiques de toute taille sont

par nature émettrices et/ou destinataires de normes, de jurisprudences, de correspondances ou de notes confidentielles, etc.

Si l'évolution des NTIC a permis des avancées dans la productivité, elle a aussi ouvert des brèches béantes dans la sécurité souvent inadaptée de ces entités.

Problématique (2) 1. on sait qu'il y a des soucis de sécurité,

qu'ils sont nombreux, évolutifs et importants. 2. on sait qu’une solution est dans la

pérennisation d'un poste de RSSI 3. mais la taille et les moyens des

institutions, limités de plus par les restrictions budgétaires, limitent la liberté d'action.

Donc que faire ?

Plan I. Les états d'esprit évoluent favorablement vers

la prise en compte de ces risques... même si les moyens ne suivent pas toujours.– I.A La prise en compte de ces risques– I.B. Les moyens ne semblent pas au niveau des

besoins II. De nouvelles menaces ?

– II.A. De nouvelles menaces apparaissent avec l'arrivée de nouveaux besoins, en une sorte de fuite en avant insurmontable.

– II.B Une tentative de catalogue des "nouvelles menaces" RSSI dans notre secteur ?

I. Les états d'esprit évoluent favorablement vers la prise en compte de ces risques... même si les moyens ne suivent pas

toujours

I.A La prise en compte de ces risques

1. Un exemple : Le Référentiel Général de sécurité (RGS)

au sein du RGI (Référentiel général d’interopérabilité)

http://www.thematiques.modernisation.gouv.fr/chantiers/88_23.html 

I.A La prise en compte de ces risques

2. Une nécessaire concertation de TOUS les acteurs

I.B. Les moyens ne semblent pas au niveau des besoins

Les impératifs de la LOLF, en ajoutant de nouveaux contrôles, nécessitent de trouver des nouvelles sources d'économie budgétaires et de limiter la masse salariale. Tout ceci ne conduit pas naturellement à la création de postes.

Il faut arriver à déterminer : la taille critique, la « masse critique d'insécurité » qui justifierait alors mécaniquement la création d'un poste de RSSI

 En fait, ce ne serait pas un seul poste, mais tout un service qu'il faudrait dans le cas d'un contrôle permanent, avec assurance de suivi et de formation des personnels chargés de la sécurité des SI.

II. De nouvelles menaces ?

II.A. De nouvelles menaces apparaissent avec l'arrivée de nouveaux besoins, en une sorte de fuite en avant insurmontable.

II.B Une tentative de catalogue des "nouvelles menaces" RSSSI dans notre secteur ?

II.A. De nouvelles menaces apparaissent avec l'arrivée de

nouveaux besoins, en une sorte de fuite en avant insurmontable.

Désormais tout le monde dans les entreprises et les institutions utilisent les NTIC, et les utilisent mal.

Effet cliquet (on ne va pas retirer le mail à des agents ? : et pourquoi pas ?) (d’où mauvaise image du RSSI : du « père fouettard » ou « gardien de prison » ... Ou gardien de l’ordre moral)

 

S’ajoutent à cela de nombreux et nouveaux problèmes liés aux nouvelles législations et réglementations touchant indirectement ou directement des applications RSSI : CNIL, CADA, LEN....

Une absence de concertation, et surtout d’études d’impact semblent être à l’origine de ces problèmes à la fois macro- et microsociologiques, nécessairement amplifiés par la taille de l’institution.

II.B Une tentative de catalogue des "nouvelles menaces" RSSI

dans notre secteur ? 1. La dématérialisation de la justice 2. ELAO (élaboration de la loi assistée par

ordinateur) 3. Journal officiel électronique qui n'a pas

remplacé la version papier 4. Le vote électronique qui ne remplace pas les

urnes et le vote papier?...

1. La dématérialisation de la justice

- Expérimentations déjà anciennes (avec le minitel) d'échange de documents de procédures avec les avocats (GUSTAVE, GREFTEL, e-GREFFE, SAGACE...)

- Expérimentations plus avancées de « justice virtuelle » avec des séances en vidéoconférence sur la Nouvelle-Calédonie et Wallis et Futuna

2. ELAO (élaboration de la loi assistée par ordinateur)

http://www.servicedoc.info/02B-La-manipulation-des-donnees.html

La légistique assistée par ordinateur : utopies et réalités des confrontations entre les nouvelles technologies, l’inflation législative et la sécurité juridique. Les expériences françaises. : http://www.servicedoc.info/La-legistique-assistee-par.html

ELAO Philippe BELIN, Chargé de mission auprès du Directeur

au Secrétariat général du Gouvernement – France : http://www.frlii.org/article.php3?id_article=62 La dématérialisation des procédures d’élaboration des textes à publier au Journal Officiel de la République Française

Véronique TAUZIAC et Jérôme RICHARD, Mission Légistique du Ministère de l’Intérieur (DGCL) – France : http://www.frlii.org/article.php3?id_article=64 Les techniques d’élaboration, de codification et de consolidation des normes assistées par ordinateur : l’expérience de la direction générale des collectivités locales

3. Journal officiel électronique qui n'a pas remplacé la version

papier

Problèmes techniques d’authentification http://www.servicedoc

.info/+-Journal-officiel-+.html et notamment http://www.servicedoc

.info/Publication-au-Journal-officiel-de.html

4. Le vote électronique qui ne remplace pas les urnes et le vote

papier?... http://www.servicedoc.info/+-Vote-

electronique-machine-a-voter-+.html http://www.ordinateurs-de-vote.org/